Số liệu khảo sát, đánh giá
Trong khoảng thời gian đầu năm 2012, VNISA đã tiến hành một cuộc khảo sát độc lập (ngẫu nhiên và không phân biệt lĩnh vực hoạt động) trên 100 website/cổng thông tin điện tử thuộc khối cơ quan nhà nước có tên miền .gov.vn. Các số liệu thống kê qua khảo sát này cho thấy:
- Có 78 website/cổng thông tin tồn tại điểm yếu cho phép tin tặc lợi dụng để khai thác;
- 58 website/cổng thông tin có lỗ hổng nghiêm trọng cho phép chiếm quyền điều khiển hoặc có thể thay đổi nội dung.
Thống kê cũng chỉ ra, trên 100 website/cổng thông tin được khảo sát đã phát hiện tổng cộng có 3.697 điểm yếu bảo mật bao gồm:
- 489 điểm yếu ở mức độ nghiêm trọng (chiếm 13%);
- 396 điểm yếu ở mức cao (chiếm 11%);
- 2.812 điểm yếu ở mức trung bình/thấp (chiếm 76%).
Trong khảo sát này, các chuyên gia tiến hành đánh giá về ATTT cho các hệ thống website trên 2 phần chính là “Đánh giá ứng dụng Web” và “Đánh giá hệ thống” (như webserver, database server... ) và đã có các số liệu như Hình 1.
Hình 1: Số liệu khảo sát đánh giá ATTT của ứng dụng web và hệ thống
- 2.012 lỗ hổng, điểm yếu bảo mật được phát hiện trên ứng dụng web.
- 1.685 lỗ hổng, điểm yếu bảo mật được phát hiện trên ứng dụng hệ thống.
Vẫn là những lỗ hổng phổ thông
Một trong những số liệu đáng lưu ý nữa được chỉ ra trong báo cáo tóm tắt này là lỗ hổng vẫn tập trung chủ yếu vào những điểm yếu đã rất phổ biến và luôn được nhắc tới trong các bảng xếp hạng về lỗ hổng, điểm yếu bảo mật của thế giới như Top 10 OWASP (Open Web Application Security Project) hay WASC (Web Application Security Consortium)....
Nhìn biểu đồ thống kê (Hình 2) có thể dễ dàng nhận thấy rằng, những lỗ hổng, điểm yếu bảo mật thường xuyên được nhắc đến nhiều nhất (về mức độ nguy hiểm, phổ biến... ) trong nhiều năm trở lại đây thì đều đang chiếm một tỉ lệ khá cao trong thống kê này như:
- SQL Injection chiếm 11% trong tổng số lỗ hổng, điểm yếu được phát hiện.
- XSS (Cross- site scripting) chiếm 9% trong tổng số lỗ hổng, điểm yếu được phát hiện.
- Trong số 100 website/cổng thông tin được khảo sát, có 28 website đang tồn tại các lỗ hổng, điểm yếu bảo mật SQL Injection, 39 website có lỗ hổng bảo mật dạng XSS (Cross - site scripting).
Các hình ảnh, video demo chỉ ra một số các điểm yếu, lỗ hổng bảo mật trên các website/cổng thông tin điện tử được khảo sát đã chứng minh cho điều này.
Thiếu các biện pháp phòng chống
Bên cạnh các kết quả thống kê về các điểm yếu bảo mật điển hình trên 100 website/cổng thông tin được chọn để khảo sát lần này, một số vấn đề được các chuyên gia VNISA lưu ý là:
- Có khoảng 80% website không có biện pháp bảo vệ tối thiểu chống lại việc dò quét (như hệ thống ngăn ngừa xâm nhập, Web Application Firewall...).
Hình 2: Biểu đồ thống kê điểm yếu về ATTT của website
- Khoảng 80% website có thể bị tấn công thay đổi nội dung hoặc “đánh sập” bất cứ lúc nào.
Con số nêu trên có thể khiến nhiều người bất ngờ, nhưng đấy là một thực tế đang tồn tại phổ biến trên các website/cổng thông tin điện tử tại nước ta hiện nay. Khi Internet phát triển, các dịch vụ công trên Internet hay nhu cầu cung cấp thông tin qua Internet đã thúc đẩy các cơ quan, đơn vị của Nhà nước, đầu tư xây dựng các website/cổng thông tin điện tử cho đơn vị mình. Tuy nhiên việc đầu tư cho vấn đề bảo vệ ATTT cho các hệ thống website vẫn chưa được quan tâm đúng mức.
Báo cáo khảo sát sơ bộ này của VNISA cho thấy các nguy cơ mất ATTT đang tồn tại phổ biến và cần thiết phải kịp thời có các biện pháp quản lý, bảo đảm ATTT cho các hệ thống website, cổng thông tin điện tử. Các cơ quan, đơn vị nói chung và trong khối nhà nước nói riêng đang có các website/cổng thông tin điện tử cần phải tăng cường các biện pháp bảo vệ an toàn thông tin cho đơn vị mình.